Twitter v pondelok priznal, že chyba v systéme umožnila útočníkom odhaliť telefónne čísla miliónov používateľov ich sociálnej siete. Medzi páchateľmi mohli byť štátom sponzorovaní hackeri.
Spoločnosť už 24. decembra zaznamenala, že niekto použil rozsiahlu sieť falošných účtov na zneužitie rozhrania API a spárovanie používateľských mien s telefónnymi číslámi. Počas vyšetrovania incidentu sa podarilo spoločnosti objaviť aj ďalšie účty, ktoré pravdepodobne využívali rovnaký koncový bod rozhrania. Obzvlášť vysoký počet žiadostí prichádzal z IP adries z Iránu, Izraelu, Malajzie ale aj iných krajín. Niektoré z nich by mohli mať väzby na štátom sponzorovaných aktérov. Tento koncový bod má za normálnych okolností pomôcť novým používateľom nájsť im známe účty podľa telefónneho čísla, ak túto možnosť dotyčný povolil.
Na chybu upozornil už v decembri bezpečnostný výskumník Ibrahim Balic, ktorému sa v priebehu dvoch mesiacov podarilo priradiť až 17 miliónov telefónnych čísiel k účtom na Twitteri. Chyba sa podľa neho vtedy nachádzala len v mobilnej aplikácii Twitteru vo funkcii nahrávania kontaktov. Spoločnosť Twitter obratom vykonala niekoľko zmien v napadnutom koncovom bode, aby mu zabránila párovať ďalšie čísla a účty. Okrem toho pozastavila aj účty, ktoré by mohli tento bod využívať a ospravedlnila sa svojim používateľom.
,,Ochrana súkromia a bezpečnosť ľudí, ktorí používajú Twitter, je našou prioritou číslo jeden a naďalej sa sústredíme na čo najrýchlejšie zastavenie zneužívania API rozhrania na Twitteri,“ uviedol vtedy hovorca spoločnosti pre TechCrunch. Podľa portálu The Register je schopnosť pripojiť konkrétne telefónne číslo s účtom na Twitteri nesmierne cenná. Útočníkom by umožnila napríklad úplnú deanonymizáciu cenných kontaktov, ktoré by mohli byť zneužité na podvody s výmenou SIM karty.
Zdroj: Cybersec